Pasitikėjimo centras: Saugumas, atitiktis ir kokybė, orientuota į žmones

Nepriklausomų įsiskverbimo testų (VAPT) rezultatai

Mūsų platformą vertina OSCP/CREST sertifikuoti trečiųjų šalių testuotojai, naudodami OWASP ir PTES metodikas. Naujausiame vertinime (2025 m. rugsėjis) nustatyta 0 kritinių/didelių problemų, o prioritetiniai radiniai buvo ištaisyti ir patikrinti pakartotinio testavimo metu. Prašykite prieigos prie dabartinės vadovybės santraukos ir visos VAPT ataskaitos (prieinama pasirašius NDA).

Versija 1.2 — 2025 m. sausio 7 d.

Prieigos kontrolės ir autentifikavimo standartas (SSO/MFA ir mažiausių privilegijų)

Griežtas įmonės prieigos valdymo standartas, apimantis SSO + MFA pagal numatytuosius nustatymus, administravimą tik per bastioną, ketvirtines teisių peržiūras, SIEM stebėseną, saugykloje saugomas paslaptis su suplanuota rotacija ir nulinio pasitikėjimo galinių taškų/tinklo apsaugos priemones. Sukurta ISO 27001/NIST kontrolėms, audito įrodymams ir mažiausių privilegijų užtikrinimui debesyje, SaaS ir galiniuose taškuose.

Versija 1.2 — 2025 m. sausio 7 d.

Saugumo programa ir kontrolės sistema (suderinta su ISO/NIST)

GoTranscript ISMS apžvalga: suderinimas su ISO 27001/27002/27017/27018 ir NIST CSF, rizikos valdymas, klasifikavimo/saugojimo modelis, incidentų valdymas (72 valandų pažeidimo langas), IT operacijų stiprinimas ir saugus SDLC. Idealiai tinka išsamiam patikrinimui (due diligence), pasiūlymų užklausoms (RFP) ir auditorių dokumentų peržiūrai.

Versija 1.2 — 2025 m. sausio 7 d.

Darbo jėgos saugumo ir mokymo politika

Įmonės personalo saugumas: automatizuota prieiga naujiems darbuotojams/perkėlimams/išėjimams per SSO + MFA, 90 minučių įvedimas, JAV Gynybos departamento PII mokymai per 30 dienų, mėnesinės mikro pamokos, ketvirtiniai sukčiavimo (phishing) testai ir 4 valandų prieigos panaikinimo SLA išeinantiems darbuotojams su skubia paslapčių rotacija. Paruošta įrodymams audituose ir BAA.

Versija 1.2 — 2025 m. sausio 7 d.

Saugumo incidentų reagavimo ir apsaugos nuo kenkėjiškų programų standartas

Formalus IR veiksmų planas (Pasirengimas→Aptikimas→Sulaikymas→Panaikinimas→Po incidento), 15 minučių pranešimo taisyklė, 72 valandų ICO/BDAR pranešimo gairės, 7 metų įrodymų saugojimas ir sustiprintas EDR/AV rinkinys (Defender, CrowdStrike, ESET, GuardDuty) su įkėlimų skenavimu ir ketvirtiniais EICAR testais. Sukurta reguliuojamoms aplinkoms.

4-oji redakcija — 2025 m. rugsėjo 27 d.

Įmonės informacijos saugumo politika

Pagrindinė politika dėl konfidencialumo, vientisumo ir prieinamumo visoje įmonėje: klasifikavimas, trečiųjų šalių tvarkymas, saugus saugojimas/šalinimas, pokyčių valdymas, incidentų reagavimas, tęstinumas ir atitiktis. Aiški apimtis/apibrėžimai audito pasirengimui ir bendravimui su reguliuotojais.

Versija 1.2 — 2025 m. sausio 7 d.

Veiklos atsparumo ir verslo tęstinumo sistema

Įsipareigojimai dėl veikimo laiko ir atkūrimo verslo pirkėjams: ≥99,9% prieinamumas, RTO ≤1h, RPO ≤15m, kelių AZ dizainas, šifruotos atsarginės kopijos tarp regionų su vientisumo patikrinimais, metiniai perjungimai/stalo analizės ir IR integracija su 72 valandų pažeidimo pranešimais, kai reikia.

Versija 1.2 — 2025 m. sausio 7 d.

IT operacijų saugumo kontrolės ir KPI

Kasdienė kontrolės nuosavybė ir įrodymų srautai auditams: pataisų SLA (kritinės ≤14 dienų), 100% šifravimas/MFA/atsarginės kopijos, realaus laiko CMDB, IaC pokyčių kontrolė, KPI suvestinės ir mokymų/IR pratybų ritmas. Susieja ISMS reikalavimus su atsakingomis operacinėmis užduotimis ir ataskaitomis.

Paskutinį kartą atnaujinta — 2025 m. sausio 19 d.

Žmogiškasis kokybės užtikrinimas (Precisa QMS): Tikrinimas ir dviejų etapų redagavimas

Įmonės lygio žmogiškoji QA programa: atrankinis tikrinimas, kalbos testai 140 kalbų, privaloma dviejų asmenų peržiūra kiekvienam failui, nuolatinis vertinimas, kalibruoti redaktoriai ir griežtas NDA valdymas/minimalus atskleidimas, sukurta HIPAA/BDAR jautriems darbo krūviams.

Versija 1.2 — 2025 m. sausio 7 d.

Saugumo rizikos valdymo politika (ISO 27001 / NIST CSF)

Kaip mes identifikuojame, vertiname, traktuojame ir valdome rizikas: ketvirtinės peržiūros, vadovybės saugumo peržiūra, liekamųjų rizikų patvirtinimas, kontrolės susiejimas su ISO 27001/27017/27018, NIST CSF, PCI DSS ir OWASP ASVS; integruojama su prieigos kontrole, tęstinumu, klasifikavimu ir incidentų reagavimu.

Versija 1.2 — 2025 m. sausio 7 d.

Tik žmonių atliekamo tvarkymo (Jokio DI, jei reikia) politika

Aiškus klientų užtikrinimo požiūris: jokios DI sistemos neapdoroja klientų duomenų. Tinklo ir galinių taškų užraktai, programinės įrangos baltasis sąrašas, mėnesiniai auditai, įvedimo/kasmetiniai mokymai ir drausminis vykdymas per ISMS incidentų procesą. Idealiai tinka privatumui jautriems ir reguliuojamiems projektams.